Перейти к содержанию

Рекомендуемые сообщения

В Chrome 86 появится защита от небезопасной отправки web-форм

Спойлер

Компания Google сообщила о появлении в будущем выпуске Chrome 86 защиты от небезопасной отправки web-форм. Защита касается форм, отображаемых на страницах, загруженных по HTTPS, но отправляющих данные без шифрования по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Для подобных смешанных web-форм реализовано три изменения:

  • Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь также будет учитываться применение шифрования при отправке данных обработчику формы. Работа менеджера паролей, позволяющего использовать надёжные и уникальные пароли, для смешанных форм аутентификации не будет отключена, так как риск от использования ненадёжного пароля и повторного применения паролей на разных сайтах превышает риск потенциального перехвата трафика.
  • При начале ввода в смешанных формах будет выводиться предупреждение, информирующее пользователя об отправке заполненных данных через незашифрованный канал связи.
    0_1597729746.png
  • При попытке отправки смешанной формы будет выводиться отдельная страница с уведомлением о потенциальном риске передачи данных через незашифрованный канал связи. В прошлых версиях для индикации смешанных форм использовался индикатор замка в адресной строке, но подобная пометка была не очевидной для пользователей и эффективно не отражала возникающие риски.
     
    0_1597729760.png

 

Для Chrome развивается API для прямых TCP и UDP коммуникаций

Спойлер

Компания Google приступила к реализации в Chrome нового API Raw Sockets, позволяющего web-приложениям устанавливать прямые сетевые соединения с использованием протоколов TCP и UDP. В 2015 году консорциумом W3C уже была предпринята попытка стандартизации API "TCP and UDP Socket", но участники рабочей группы не достигли консенсуса и разработка данного API была остановлена.

Необходимость добавления нового API объясняется предоставлением возможности взаимодействия с сетевыми устройствами, которые используют собственные протоколы, работающие поверх TCP и UDP, и не поддерживают взаимодействие через HTTPS или WebSockets. Отмечается, что API Raw Sockets дополнит уже имеющиеся в браузере низкоуровневые программные интерфейсы WebUSB, WebMIDI и WebBluetooth, позволяющие взаимодействовать с локальными устройствами.

Для исключения негативного влияния на безопасность API Raw Sockets будет допускать сетевые обращения только инициированные с согласия пользователя и ограниченные списком разрешённых пользователем хостов. Пользователь должен будет явно подтверждать первую попытку соединения для нового хоста. При помощи специального флага пользователь сможет отключить вывод повторных запросов подтверждения операции при повторных соединениях к тому же хосту. Для предотвращения DDoS-атак интенсивность обращений через Raw Sockets будет лимитирована, а отправка запросов возможно только после взаимодействия пользователя со страницей. UDP-пакеты, полученные с хостов, не одобренных пользователем, будут игнорироваться и не доходить до web-приложения.

Начальная реализация не предусматривает создания слушающих сокетов, но в будущем не исключается предоставление вызовов для приёма входящих соединений с localhost или списка известных хостов. Также упоминается необходимость защиты от атак "DNS rebinding" (атакущий может на уровне DNS сменить IP-адрес для одобренного пользователем доменного имени и получить доступ к другим хостам). Доступ к доменам, резолвящимся в 127.0.0.0/8 и интранет сети планируется блокировать (обращения к localhost предлагается разрешить только при явном вводе IP-адреса в форме подтверждения).

Среди рисков, которые могут возникнуть при реализации нового API, отмечается его возможное неприятие производителями других браузеров, что может привести к проблемам с совместимостью. Разработчики движков Mozilla Gecko и WebKit пока не выработали свою позицию по поводу возможной реализации API Raw Sockets, но компания Mozilla ранее для проекта Firefox OS (B2G) уже предлагала похожий API. В случае утверждения на первом этапе API Raw Sockets планируется активировать в Chrome OS, а уже потом предложить пользователям Chrome в других системах.

Web-разработчики положительно отозвались о новом API и высказали много новых идей об его применении в областях, в которых API XMLHttpRequest, WebSocket и WebRTC недостаточно (от создания браузерных клиентов для SSH, RDP, IMAP, SMTP, IRC и протоколов вывода на печать до разработки распределённых P2P-систем с DHT (Distributed Hash Table), поддержки IPFS и взаимодействия со специфичными протоколами IoT-устройств).

 

Разработчики Chrome экспериментируют с языком программирования Rust

Спойлер

Разработчики Chrome экспериментируют с использованием языка Rust. Работа ведётся в рамках инициативы по предотвращению появления ошибок работы с памятью в кодовой базе Chrome. В настоящее время работа ограничивается созданием прототипов средств для использования Rust. Первой задачей, которую необходимо решить до того, как начать полноценно использовать Rust в кодовой базе Chrome, называется обеспечение переносимости между кодом на C++ и Rust.

В обозримом будущем язык C++ останется первичным в Chrome, поэтому основное внимание в проводимых экспериментах уделяется возможностям по вызову существующих C++ функций из кода на Rust и безопасному способу передачи типов между Rust и C++. В качестве основного решения для организации обмена данными между Rust и C++ рассматривается библиотека cxx, которая автоматически создаёт безопасные привязки между функциями C++ и Rust. Вручную подобные привязки создавать слишком трудоёмко так как API Chrome насчитывает более 1700 вызовов и велика вероятность допустить ошибку.

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 1,7k
  • Created
  • Последний ответ

Top Posters In This Topic

  • Fox

    178

  • Friend

    163

  • Umnik

    102

  • sputnikk

    91

Top Posters In This Topic

Popular Posts

Google Chrome 37 появился в стабильном канале обновлений.    - Наиболее значимое изменение - поддержка DirectWrite в версии для Windows, которая отвечает за более сглаженный внешний вид шрифтов (отк

У меня там много порно было и когда открывал, то на некоторое время забывал, что я хотел сделать.

@sputnikk, секундомером)

Posted Images

Поделитесь батником отключения Software Reporter Tool  на Вин 7.

 

Такой не подходит

TASKKILL /f /IM software_reporter_tool.exe

takeown.exe /F "%userprofile%\appdata\Local\Google\Chrome\User Data\SwReporter" /A
takeown.exe /F "%userprofile%\appdata\Local\Google\Software Reporter Tool" /A

icacls "%userprofile%\appdata\Local\Google\Chrome\User Data\SwReporter" /grant[:r] %Username%:(F)
icacls "%userprofile%\appdata\Local\Google\Software Reporter Tool" /grant[:r] %Username%:(F)

rmdir /S /Q "%USERPROFILE%\AppData\Local\Google\Chrome\User Data\SwReporter"
rmdir /S /Q "%USERPROFILE%\AppData\Local\Google\Software Reporter Tool"

pause

 

Ссылка на сообщение
Поделиться на другие сайты

 Релиз Chrome 85

Спойлер

Компания Google представила релиз web-браузера Chrome 85. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 86 запланирован на 6 октября.

 

Основные изменения в Chrome 85:

  • Добавлена возможность сворачивания групп вкладок. Вкладки объединяются в группы при помощи контекстного меню и могут быть связаны с определённым цветом и меткой. При клике на метке группы связанные с ней вкладки теперь скрываются и вместо них остаётся одна метка. Повторный клик на метке убирает скрытие.
    0_1598426163.png
    0_1598426192.png
  • Реализован предпросмотр содержимого вкладок. При наведении курсора на кнопку вкладки теперь показывается эскиз находящейся во вкладке страницы. Возможность пока активирована не для всех пользователей и может быть включена при помощи настройки "chrome://flags/#tab-hover-cards".
    0_1598427623.png
  • Добавлена возможность сохранения отредактированных PDF-форм, а также предложены настройки "chrome://flags#pdf-viewer-update" и "chrome://flags/#pdf-two-up-view" для экспериментов с новым интерфейсом просмотра PDF-документов.
  • Добавлена возможность обмена ссылками при помощи QR-кодов. Для генерации QR-кода для текущей страницы в адресную строку помещена специальная пиктограмма, которая появляется при клике на адресную строку. Возможность пока активирована не для всех пользователей и может быть включена при помощи настройки "chrome://flags/#sharing-qr-code-generator".
    0_1598427182.png
  • На странице about:flags появилась опция "Omnibox UI Hide Steady-State URL Path, Query, and Ref" ("chrome://flags#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction"), позволяющая отключить отображение элементов пути и параметров запроса в адресной строке, оставив видимым только домен сайта. Скрытие осуществляется при начале взаимодействия со страницей (во время загрузки и пока пользователь не начал прокрутку показывается полный URL). После скрытия для просмотра полного URL предлагается кликнуть на адресной строке. Также доступна опция "chrome://flags#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover" для показа полного URL при наведении курсора. Доступная в контекстном меню настройка "Всегда показывать URL полностью", отменяет скрытие "https://", "www.", путей и параметров. По умолчанию скрытие пока активировано только для небольшого процента пользователей. В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL.
    0_1598424145.png
  • В планшетном режиме для устройств с сенсорными экранами включена горизонтальная навигация по открытым вкладкам, при которой кроме заголовков на вкладках отображаются крупные эскизы связанных со вкладками страниц. Вкладки можно перемещать и перегруппировывать экранными жестами. Отображение эскизов включается и выключается специальной кнопкой, размещённой рядом с адресной строкой и аватаром пользователя. Для отключения режима предусмотрены настройки "chrome://flags/#webui-tab-strip" и "chrome://flags/#scrollable-tabstrip".
    0_1589531924.png
  • В версии для Android при наборе в адресной строке в списке предлагаемых страниц обеспечен вывод подсказки для быстрого перехода к уже открытым вкладкам.
    0_1598429129.png
  • В версии для Android в контекстном меню ссылок, появляющемся при длительном удержании касания на ссылке, добавлены метки для выделения быстрых страниц. Скорость определяется на основе метрик Core Web Vitals, учитывающих сводные показатели времени загрузки, отзывчивости и стабильности содержимого.
    0_1598430645.png
  • Обеспечено блокирование небезопасной загрузки (без шифрования) исполняемых файлов и добавлен вывод предупреждений при небезопасной загрузке архивов (zip, iso и т.п.). В следующем выпуске ожидается блокировка архивов и вывод предупреждения для документов (docx, pdf и т.п.). В дальнейшем постепенно планируется полностью прекратить поддержку загрузки файлов без применения шифрования. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак.
  • Включена по умолчанию поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1. Контейнер для распространения сжатых данных в AVIF полностью аналогичен HEIF. AVIF поддерживает как изображения в HDR (High Dynamic Range) и цветовом пространстве Wide-gamut, так и в стандартном динамическом диапазоне (SDR).
  • При компиляции сборок для Windows и macOS по умолчанию при вызове компиляторов MSVC и Clang включены оптимизации на основе результатов профилирования кода (PGO - Profile-guided optimization), позволяющие генерировать более оптимальный код на основе анализа особенностей выполнения программы. Включение PGO дало возможность ускорить загрузку вкладок приблизительно на 10% (ускорение прохождения теста Speedometer 2.0 в macOS на 7.7%, а в Windows на 11.4%). Отзывчивость интерфейса увеличилась в macOS на 3.9%, а в Windows на 7.3%.
  • Добавлен экспериментальный режим урезания активности фоновых вкладок ("Tab Throttling"), доступный через настройку "chrome://flags##intensive-wake-up-throttling" (включение по умолчанию ожидается в Chrome 86). При включении режима передача управления фоновым вкладкам (TaskQueues) уменьшается до 1 вызова в минуту, если страница находится в фоне более 5 минут.
  • Для всех категорий пользователей активирован режим снижения потребление ресурсов CPU когда окно браузера не находится в поле видимости пользователя. Chrome проверяет не перекрывается ли окно браузера другими окнами и исключает отрисовку пикселей в областях перекрытия.
  • Усилена защита от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, реализована автоматическая замена ссылок "http://" на "https://" в блоках, связанных с загрузкой изображений (ранее заменились скрипты и iframe, звуковые файлы и видео). Если изображение недоступно по https, то его загрузка блокируется (вручную можно отметить блокировку через меню, доступное через символ замка в адресной строке).

     
  • К TLS-сертификатам, выписанным начиная с 1 сентября 2020 года, будет применяться новое ограничение на срок действия - время жизни данных сертификатов не сможет превышать 398 дней (13 месяцев). Аналогичные ограничения применены в Firefox и Safari. Для сертификатов, полученных до 1 сентября, доверие будет сохранено, но ограничено 825 днями (2.2 года).
  • В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
    • Предложена концепция порталов для обеспечения бесшовной навигации между сайтами и вставки одной страницы в другую для предпросмотра содержимого перед переходом. Предложен новый тег <portal>, позволяющий отобразить другую страницу в форме вставки, при фокусе на которую, показанная во вставке страница будет переведена в состояние основного документа, внутри которого допускается навигация. В отличие от iframe вставка полностью изолирована от базовой страницы и обрабатывается как отдельный документ.
    • API Fetch Upload Streaming, позволяющий осуществлять fetch-запросы с загрузкой содержимого в форме потока ReadableStream (ранее запрос требовал полной готовности содержимого, а теперь можно начать отправлять данные в форме потока, не дожидаясь полной готовности тела запроса). Например, web-приложение может начать отправлять данные web-формы как только пользователь начал набирать текст в поле ввода и когда набор будет завершён данные через fetch() уже будут отправлены. В том числе через новый API можно передавать звуковые и видео данные, генерируемые на стороне клиента.
    • Предложен API Declarative Shadow DOM для создания новых корневых веток в Shadow DOM, например чтобы отделить импортируемый сторонний стиль элемента и связанную с ним подветку DOM от основного документа. Предложенный декларативный API позволяет обойтись для открепления веток DOM только HTML без необходимости написания кода на JavaScript.
    • Добавлено свойство RTCRtpEncodingParameters.adaptivePtime, позволяющее отправителю RTC-потоков (real-time communication) управлять включением адаптивного механизма отправки пакетов.
    • Упрощено предоставление постоянного хранилища для уже установленных приложений PWA (Progressive Web Apps) и TWA (Trusted Web Activities) Приложению достаточно вызвать метод navigator.storage.persist() и постоянное хранилище будет предоставлено автоматически.
  • Реализовано новое CSS-правило @property, позволяющее регистрировать собственные CSS-свойства с наследованием, проверкой типов и значениями по умолчанию. Действие @property аналогично ранее добавленному методу registerProperty().
  • Для систем с ОС Windows предоставлена возможность использования метода getInstalledRelatedApps() для определения установки PWA-приложений. Ранее данный мето работал только на платформе Android.
  • Для настольных систем реализована поддержка ярлыков приложений, позволяющих предоставить быстрый доступ к востребованным типовым действиям в приложении. Для создания ярлыков достаточно добавить элементы в манифест web-приложения в формате PWA (Progressive Web Apps). Ранее ярлыки приложений были доступны только на платформе Android.
  • Добавлено CSS-свойство content-visibility для управления видимостью содержимого для оптимизации отрисовки. При установке значения 'auto' видимость определяется браузером на основании близости элемента к границе видимой области. Значение 'hidden' позволяет полностью управлять отображением элемента из скриптов.
  • Добавлено CSS-свойство counter-set для установки определённого значения для существующих счётчиков. Новое CSS-свойство дополняет собой ранее доступные свойства counter-reset и counter-increment, применяемые для создания нового счётчика или увеличения существующего.
  • Добавлено CSS-свойство 'page', отражающее страницу при выводе на печать, а также свойство 'page-orientation' для получения информации об ориентации страницы ('upright', 'rotate-left' и 'rotate-right'). Реализована поддержка обращения к страницам по именам, например "@page foobar {}".
  • Реализован API Event Timing для измерения задержек события до и после загрузки страницы.
  • В событии leavepictureinpicture теперь передаётся ссылка на pictureInPictureWindow для доступа к окну в режиме Picture-in-Picture.
  • При заполнении заголовка Referrer по умолчанию теперь применяется правило strict-origin-when-cross-origin (отправлять Referrer обрезанным на другие хосты, с которых загружаются ресурсы) вместо no-referrer-when-downgrade (Referrer не заполняется при обращении с HTTPS на HTTP, но передаётся при загрузке ресурсов по HTTPS).
  • В API WebAuthn предложены новые методы getPublicKey(), getPublicKeyAlgorithm() и getAuthenticatorData().
  • В WebAssembly добавлена поддержка импорта и экспорта 64-разрядных целых параметров функции, используя JavaScript-тип BigInt.
  • В WebAssembly реализовано расширение Multi-value, позволяющее функции возвращать более одного значения.
  • Начальный (baseline) компилятор Liftoff для WebAssembly задействован для всех архитектур и платформ, а не только для систем Intel. Ключевое отличие Liftoff от ранее применяемого компилятора TurboFan в том, что Liftoff нацелен на достижение наибольшей скорости начальной компиляции, ценой низкой производительности генерируемого кода. Liftoff значительно проще TurboFan и генерирует готовый для запуска машинный код очень быстро, что позволяет почти сразу приступить к его выполнению, сведя задержку от компиляции к минимуму. Для ускорения чернового кода параллельно запускается фаза оптимизирующей перекомпиляции, которая выполняется с использованием компилятора Turbofan. После готовности оптимизированых машинных инструкций, начальный черновой вариант заменяется на более быстрый код. В сумме, за счёт снижения задержки перед началом выполнения, применение Liftoff привело к увеличению производительности тестового набора WebAssembly примерно на 20%.
  • В JavaScript добавлены новые операторы логического присвоения: "??=", "&&=" и "||=". Оператор "x ??= y" выполняет присвоение, только если "x" принимает значение null или undefined. Оператор "x ||= y" выполняет присвоение, только если "x" имеет значение FALSE, а в "x &&= y" - TRUE.
  • Добавлен метод String.prototype.replaceAll(), возвращающий новую строку (исходная строка не меняется), в которой на основании заданного шаблона выполнены замены всех совпадений. Шаблоны могут быть как простыми масками, так и регулярными выражениями.
  • Реализован метод Promise.any(), который возвращает первый выполненный Promise из списка.
  • Прекращено действие манифеста AppCache (технология для организации работы web-приложения в offline-режиме). В качестве причины называется желание избавиться от одного из векторов для совершения атак, связанных с межсайтовым скриптингом. Вместо AppCache рекомендуется использовать API Cache.
  • Запрещена передача Cookie в режиме SameSite=None для соединений без шифрования. Aтрибут SameSite указывается в заголовке Set-Cookie для управления передачей Cookie и по умолчанию выставлен в значение "SameSite=Lax", ограничивающее отправку Cookie для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe с другого сайта. Сайты могут переопределить применяемый по умолчанию режим SameSite, явно выставляя при установке Cookie значение SameSite=None. Значение SameSite=None для Cookie теперь может выставляться только в режиме Secure, который действует для соединений через HTTPS.
  • В инструментах для web-разработчиков добавлена поддержка редактирования стилей, созданных фреймворками CSS-in-JS при помощи API CSSOM (CSS Object Model), а также стилей, добавленных из JavaScript. Панель аудита обновлена до выпуска Lighthouse 6.0, в котором добавлены новые метрики Largest Contentful Paint (LCP), Cumulative Layout Shift (CLS) и Total Blocking Time (TBT).
    0_1598439958.png
  • В панели оценки производительности отображена информация о кэшировании результатов компиляции JavaScript. В случае навигации пользователя по странице в шкале обеспечен показ времени относительное начала навигации, а не начала записи.
    0_1598440202.png

Кроме нововведений и исправления ошибок в новой версии устранено 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 14 премий на сумму 10000 долларов США (одна премия $5000, три премии $1000 и четыре премии $500). Размер 6 вознаграждений пока не определён.

 

Ссылка на сообщение
Поделиться на другие сайты

В Chrome для Android включена поддержка DNS-over-HTTPS

Спойлер

Компания Google объявила о начале поэтапного включения режима "DNS поверх HTTPS" (DoH, DNS over HTTPS) для пользователей Chrome 85, использующих платформу Android. Режим будет включаться постепенно, охватывая всё больше пользователей. Ранее в Chrome 83 началось включение DNS-over-HTTPS для пользователей настольных систем.

DNS-over-HTTPS будет автоматически активирован для пользователей, в настройках которых указаны DNS-провайдеры, поддерживающие данную технологию (для DNS-over-HTTPS используется тот же провайдер, который применялся для DNS). Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DNS-over-HTTPS сервис Google ("https://dns.google.com/dns-query"), если DNS - 1.1.1.1, то DNS-over-HTTPS сервис Cloudflare ("https://cloudflare-dns.com/dns-query") и т.п.

Для того чтобы исключить проблемы с резолвингом корпоративных интранет сетей DNS-over-HTTPS не применяется при определении использования браузера в централизованно управляемых системах. DNS-over-HTTPS также отключается при наличии систем родительского контроля. В случае сбоев в работе DNS-over-HTTPS предусмотрена возможность отката настроек на обычный DNS. Для управления работой DNS-over-HTTPS в настройки браузера добавлены специальные опции, позволяющие отключить DNS-over-HTTPS или выбрать другого провайдера.

Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DNS-over-HTTPS не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DNS-over-HTTPS запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
 

   

 

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...

Релиз Chrome 86

Спойлер

Компания Google представила релиз web-браузера Chrome 86. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 87 запланирован на 17 ноября.

 

Основные изменения в Chrome 86:

  • Добавлена защита от небезопасной отправки форм ввода на страницах, загруженных по HTTPS, но отправляющих данные по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Защита сводится к трём изменениям:
    • Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь учитывается и применение шифрования при отправке данных обработчику формы. Работа менеджера паролей для смешанных форм аутентификации не отключена, так как риск от использования ненадёжного пароля и повторного применения паролей на разных сайтах превышает риск потенциального перехвата трафика.
    • При начале ввода в смешанных формах обеспечен вывод предупреждения, информирующего пользователя об отправке заполненных данных через незашифрованный канал связи.
    • При попытке отправки смешанной формы выводится отдельная страница с уведомлением о потенциальном риске передачи данных через незашифрованный канал связи. В прошлых версиях для индикации смешанных форм использовался индикатор замка в адресной строке, но подобная пометка была не очевидной для пользователей и эффективно не отражала возникающие риски.
       
      0_1597729760.png
  • Блокирование небезопасной загрузки (без шифрования) исполняемых файлов дополнено блокировкой небезопасной загрузки архивов (zip, iso и т.п.) и выводом предупреждений при небезопасной загрузке документов (docx, pdf и т.п.). В следующем выпуске ожидается блокировка документов и вывод предупреждения для изображений, текстовых и мультимедийных файлов. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак.
  • В контекстном меню по умолчанию показана опция "Всегда показывать URL полностью", для включения которой ранее требовалось изменение параметров на странице about:flags. Полный URL также можно просмотреть кликнув два раза на адресной строке. Напомним, что начиная с Chrome 76 по умолчанию адрес стал показываться без протокола и поддомена www. В Chrome 79 была удалена настройка по возвращению старого поведения, но после недовольства пользователей в Chrome 83 был добавлен новый экспериментальный флаг, добавляющий в контекстное меню пункт для отключения скрытия и показа полного URL в любых условиях.
  • Для небольшого процента пользователей запущен эксперимент по отображению по умолчанию в адресной строке только домена, без элементов пути и параметров запроса. Например, вместо "https://example.com/secure-google-sign-in/" будет показано "example.com". Доведение предложенного режима до всех пользователей ожидается в одном из следующих выпусков. Для отключения указанного поведения можно использовать опцию "Всегда показывать URL полностью", а для просмотра всего URL можно кликнуть на адресной строке. В качестве мотива изменения указывается желание защитить пользователей от фишинга, манипулирующего параметрами в URL - злоумышленники пользуются невнимательностью пользователей для создания видимости открытия другого сайта и совершения мошеннических действий (если для технически грамотного пользователя подобные подмены бросаются в глаза, то неискушённые обыватели легко покупаются на подобные простые манипуляции).
  • Возобновлена инициатива по удалению поддержки FTP. В Chrome 86 FTP отключён по умолчанию примерно для 1% пользователей, а в Chrome 87 охват отключения будет увеличен до 50%, но поддержку можно будет вернуть при помощи флага "--enable-ftp" или "--enable-features=FtpProtocol". В Chrome 88 поддержка FTP будет полностью отключена.
  • В версии для Android по аналогии с версией для настольных систем в менеджере паролей реализована проверка сохранённых логинов и паролей по базе скомпрометированных учётных записей с выводом предупреждения в случае выявления проблем или попытке использования тривиальных паролей. Проверка выполняется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз. Для сохранения приватности применяется сверка хэш-префикса на стороне пользователя, а сами пароли и их полные хэши не передаются во вне.
  • В версию для Android также перенесены кнопка "Проверка безопасности" (Safety check) и расширенный режим защиты от опасных сайтов (Enhanced Safe Browsing). Кнопка "Safety check" показывает сводку о возможных проблемах с безопасностью, таких как использование скомпрометированных паролей, состояние проверки вредоносных сайтов (Safe Browsing), наличие неустановленных обновлений и выявление вредоносных дополнений. Расширенный режим защиты активирует дополнительные проверки для защиты от фишинга, вредоносной активности и прочих угроз в Web, а также включает дополнительную защиту для учётной записи в Google и сервисов Google (Gmail, Drive и т.п.). Если в обычном режиме Safe Browsing проверки выполняются локально по периодически загружаемой на систему клиента БД, то в Enhanced Safe Browsing информация о страницах и загрузках в режиме реального времени отправляется для проверки на стороне Google, что позволяет оперативно реагировать на угрозы сразу после их выявления, не дожидаясь пока обновится локальный чёрный список.
  • Добавлена поддержка файла-индикатора ".well-known/change-password", при помощи которого владельцы сайтов могут указать адрес web-формы для смены пароля. В случае выявления компрометации учётных данных пользователя Chrome теперь сразу предложит пользователю форму для изменения пароля, определённую на основе информации из данного файла.
  • Реализован вывод нового предупреждения "Safety Tip", отображаемого при открытии сайтов, домен которых очень похож на другой сайт и эвристика показывает, что велика вероятность спуфинга (например, открыт goog0le.com вместо google.com).
  • Реализована поддержка кэша перехода (Back-forward cache), обеспечивающего мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. Кэш включается при помощи настройки chrome://flags/#back-forward-cache.
  • Проведена оптимизация потребления ресурсов CPU окнами вне области видимости. Chrome проверяет не перекрывается ли окно браузера другими окнами и исключает отрисовку пикселей в областях перекрытия. Указанная оптимизация была включена для небольшого процента пользователей в Chrome 84 и 85, а теперь активирована повсеместно. По сравнению с прошлыми выпусками также устранена несовместимость с системами виртуализации, из-за которой показывались пустые белые страницы.
  • Усилено урезание ресурсов для фоновых вкладок. Подобные вкладки теперь не могут потреблять больше 1% ресурсов CPU и могут активироваться не чаще одного раза в минуту. После пяти минут нахождения в фоне вкладки замораживаются, за исключением вкладок в которых воспроизводится мультимедийное содержимое или ведётся запись.
  • Возобновлена работа по унификации HTTP-заголовка User-Agent. В новой версии для всех пользователей активирована поддержка механизма User-Agent Client Hints, развиваемого в качестве замены User-Agent. Новый механизм подразумевает выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов. При использовании User-Agent Client Hints идентификатор не передаётся по умолчанию без явного запроса, что делает невозможным проведение пассивной идентификации (по умолчанию указывается только название браузера).
  • Изменена индикация наличия обновления и необходимости перезапуска браузера для его установки. Вместо цветной стрелки в поле аватара учётной записи теперь появляется надпись "Update".
    0_1602058250.png
  • Проведена работа по переводу браузера на применение инклюзивной терминологии. В именах политик слова "whitelist" и "blacklist" заменены на "allowlist" и "blocklist" (уже добавленные политики продолжат работать, но для них будет выводиться предупреждение о переводе в разряд устаревших). В коде и именах файлов упоминания "blacklist" заменены на "blocklist". Видимые пользователю упоминания "blacklist" и "whitelist" были заменены ещё в начале 2019 года.
  • Добавлена экспериментальная возможность редактирования сохранённых паролей, активируемая при помощи флага "chrome://flags/#edit-passwords-in-settings".




     
  • Переведён в разряд стабильных и общедоступных API Native File System, позволяющий создавать web-приложения, взаимодействующие с файлами в локальной ФС. Например, новый API может быть востребован в запускаемых в браузере интегрированных средах разработки, редакторах текста, изображений и видео. Для получения возможности прямой записи и чтения файлов или использования диалогов для открытия и сохранения файлов, а также для навигации по содержимому каталогов, приложение запрашивает у пользователя специальное подтверждение.
    0_1602059707.png
  • Добавлен CSS-селектор ":focus-visible", который использует ту же эвристику, что используется браузером при принятии решения о показе индикатора смены фокуса (при перемещении фокуса на кнопку клавиатурными комбинациями индикатор появляется, а при клике мышью - нет). Ранее доступный CSS-селектор ":focus" всегда подсвечивает фокус. Кроме того, в настройки добавлена опция "Quick Focus Highlight", при включении которой рядом с активными элементами будет показываться дополнительный индикатор фокуса, который остаётся видимым даже если на странице через CSS отключены элементы стиля для визуального выделения фокуса.
  • В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
    • API WebHID для низкоуровневого доступа к HID-устройствам (Human interface device, клавиатуры, мыши, геймпады, сенсорные панели), позволяющим реализовать логику работы с HID-устройством на JavaScript для организации работы с редкими HID-устройствами без наличия в системе специфичных драйверов. Прежде всего новый API нацелен на предоставление поддержки геймпадов.
    • API Screen Information, расширяет возможности API Window Placement поддержкой конфигураций с несколькими экранами. В отличие от window.screen новый API позволяет манипулировать размещением окна в общем экранном пространстве многомониторнных систем, не ограничиваясь текущим экраном.
    • Мета-тег battery-savings, при помощи которого сайт может информировать браузер о необходимости активации режимов снижения энергопотребления и оптимизации нагрузки на CPU.
    • API COOP Reporting для информирования о потенциальных нарушениях режимов изоляции Cross-Origin-Embedder-Policy (COEP) и Cross-Origin-Opener-Policy (COOP), без применения фактических ограничений.
    • В API Credential Management предложен новый тип учётных данных PaymentCredential, обеспечивающий дополнительное подтверждение совершаемой платёжной операции. Проверяющая сторона, например, банк, имеет возможность сгенерировать открытый ключ PublicKeyCredential, который может быть запрошен продавцом для дополнительного безопасного подтверждения платежа.
  • В API PointerEvents для определения наклона стилуса добавлена поддержка углов высоты (угол между стилусом и экраном) и азимута (угол между осью X и проекцией стилуса на экран), вместо углов TiltX и TiltY (углы между плоскостью из стилуса и одной из осей и плоскостью из осей Y и Z). Также добавлены функции преобразования между высотой/азимутом и TiltX/TiltY.
  • Изменено кодирование пробела в URL, при его вычислении в обработчиках протокола - метод navigator.registerProtocolHandler() теперь заменяет пробелы на "%20" вместо "+", что унифицирует поведение с другими браузерами, такими как Firefox.
  • В CSS добавлен псевдо-элемент "::marker", позволяющий настроить цвет, размер, форму и тип чисел и точек для перечислений в блоках <ul> и <ol>.
  • Добавлена поддержка HTTP-заголовка Document-Policy, позволяющего задать правила доступа к документам, похожие на механизм sandbox-изоляции для iframe, но более универсальный. Например, через Document-Policy можно ограничить использование некачественных изображений, отключить медленные JavaScript API настроить правила загрузки iframe, изображений и скриптов, ограничить общий размер документа и трафик, запретить методы, приводящие к перерисовке страницы, отключить функцию Scroll-To-Text.
  • В элемент <fieldset> добавлена поддержка параметров 'inline-grid', 'grid', 'inline-flex' и 'flex', задаваемых через CSS-свойство 'display'.
  • Добавлен метод ParentNode.replaceChildren() для замены всех дочерних элементов родительского узла на другой DOM-узел. Ранее для замены узлов можно было использовать комбинацию из методов node.removeChild() и node.append() или node.innerHTML и node.append().
  • Расширен спектр схем URL, допустимых для переопределения при помощи registerProtocolHandler(). В список схем включены децентрализованные протоколы cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns и ssb, что позволяет определять ссылки на элементы независимо от сайта или шлюза, предоставляющего доступ к ресурсу.
  • В API Asynchronous Clipboard добавлена поддержка формата text/html для копирования и вставки HTML через буфер обмена (при записи и чтения в буфер обмена выполняется чистка опасных конструкций HTML). Изменение, например, позволяет организовать в web-редакторах вставку и копирование отформатированного текста с изображениями и ссылками.
  • В WebRTC добавлена возможность подключения собственных обработчиков данных, вызываемых на стадиях кодирования или декодирования WebRTC MediaStreamTrack. Например, указанную возможность можно использовать для добавления поддержки сквозного шифрования данных, передаваемых через промежуточные серверы.
  • В JavaScript-движке V8 на 75% ускорена реализация Number.prototype.toString. В асинхронные классы добавлено свойство .name с пустым значением. Удалён метод Atomics.wake, который в своё время был переименован в Atomics.notify для соответствия спецификации ECMA-262. Открыт код инструментария fuzzing-тестирования JS-Fuzzer.
  • В задействованном в прошлом выпуске начальном (baseline) компиляторе Liftoff для WebAssembly включена возможность использования векторных инструкций SIMD для ускорения вычислений. Судя по тестам, оптимизация позволила ускорить прохождения некоторых тестов в 2.8 раз. Другая оптимизация позволила значительно ускорить вызов из WebAssembly импортированных функций JavaScript.
  • Расширены инструменты для web-разработчиков: В панель Media добавлены сведения о проигрывателях, применяемых для воспроизведения видео на странице, включая данные о событиях, логи, значения свойств и параметры декодирования кадров (например, можно определить причины потери кадров и проблем при взаимодействии из JavaScript).
    0_1602081769.png

    В контекстном меню панели Elements добавлена возможность создания скриншотов выбранного элемента (например, можно создать скриншот оглавления или таблицы).

    0_1602081920.png

    В web-консоли панель с предупреждением о проблемах заменена на обычное сообщение, а проблемы со сторонними Cookie скрыты по умолчанию во вкладке Issues и включаются специальным флажком.

    0_1602082121.png

    Во вкладке Rendering добавлена кнопка "Disable local fonts", позволяющая симулировать отсутствие локальных шрифтов, а во вкладке Sensors появилась возможность симулировать неактивность пользователя (для приложений, использующих API Idle Detection).

    0_1602082311.png

    В панели Application предоставлена детальная информация о каждом iframe, открытом окне и pop-up-ах, включая данные об изоляции Cross-Origin при помощи COEP и COOP.

    0_1602082574.png
  • Началась замена реализации протокола QUIC на вариант, развиваемый в спецификации IETF, вместо Google-варианта QUIC.

Кроме нововведений и исправления ошибок в новой версии устранено 35 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одна уязвимость (CVE-2020-15967, обращение к освобождённой области памяти в коде для взаимодействия с Google Payments) помечена как критическая, т.е. позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 27 премий на сумму 71500 долларов США (одна премия $15000, три премии $7500, пять премий $5000, две $3000, одна $200 и две премии $500). Размер 13 вознаграждений пока не определён.
 

  исп

 

Ссылка на сообщение
Поделиться на другие сайты

В Chrome началась активация IETF QUIC и HTTP/3

Спойлер

Компания Google сообщила о начале замены собственной редакции протокола QUIC на вариант, развиваемый в спецификации IETF. Применявшийся в Chrome вариант QUIC от Google в некоторых деталях отличается от варианта из спецификаций IETF. При этом Chrome поддерживает оба варианта протокола, но по умолчанию до сих пор использовал свой вариант QUIC.

С сегодняшнего дня 25% пользователей стабильной ветки Chrome переключены на использование IETF QUIC и в ближайшее время доля таких пользователей будет увеличена. По статистике Google по сравнению с HTTP поверх TCP+TLS 1.3 протокол IETF QUIC показал снижение задержек при поиске в Google Search на 2% и уменьшение времени ребуферизации в YouTube на 9% при увеличении пропускной способности на 3% для настольных и на 7% для мобильных систем.

HTTP/3 стандартизирует использование протокола QUIC в качестве транспорта для HTTP/2. Протокол QUIC (Quick UDP Internet Connections) c 2013 года развивается компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. В процессе стандартизации в IETF в протокол были внесены изменения, что привело к возникновению двух параллельно существующих веток, одна для HTTP/3, а вторая поддерживаемая Google.

 

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

В Chrome экспериментируют с показом рекламы на странице новой вкладки

Спойлер

Компания Google добавила в тестовые сборки Chrome Canary, которые лягут в основу выпуска Chrome 88, новый экспериментальный флаг (chrome://flags#ntp-shopping-tasks-module), включающий отображение модуля с рекламой на странице, показываемой при открытии новой вкладки. Реклама показывается с учётом активности пользователя в сервисах Google. Например, если пользователь до этого искал связанную со стульями информацию в поисковой системе Google, то ему будет показана реклама с предложением купить стулья. Информации о намерении включить данный модуль по умолчанию пока нет.

 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

В Chrome планируют добавить собственное хранилище корневых сертификатов ]

Спойлер

Компания Google работает над реализацией унифицированного хранилища корневых сертификатов удостоверяющих центров (Chrome Root Store), которое планируют использовать в Chrome вместо специфичных для каждой операционной системы хранилищ. Инициатива напоминает подход компании Mozilla, которая поддерживает отдельное независимое хранилище корневых сертификатов для Firefox, используемое в качестве первого звена для проверки цепочки доверия сертификатов при открытии сайтов по HTTPS.

Внедрение нового хранилища корневых сертификатов пока находится на стадии планирования. Для упрощения перевода конфигураций, завязанных на системные хранилища, и для обеспечения переносимости, какое-то время будет действовать переходный период, в течение которого в Chrome Root Store будет включена полная подборка сертификатов, одобренных на большинстве поддерживаемых платформ. Удостоверяющие центры для включения Chrome Root Store будут выбраны на основе публично доступной и проверенной информации, например, такой как база CCADB (Common CA Certificate Database), поддерживаемая Mozilla.

Компания Google уже опубликовала рекомендации по включению в Chrome Root Store новых удостоверяющих центров, не вошедших в начальный список, а также определила правила реагирования на инциденты.

 

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

Релиз Chrome 87

Спойлер

Компания Google представила релиз web-браузера Chrome 87. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 88 запланирован на 19 января.

 

Основные изменения в Chrome 87:

  • Включён режим урезания активности фоновых вкладок ("Tab Throttling"). Браузер теперь отдаёт приоритет активным вкладкам и ограничивает потребление CPU фоновыми вкладками, снижая интенсивность пробуждения процессора. В соответствии с собранной статистикой около 40% потребления ресурсов при вызове таймеров JavaScript приходилось на фоновые вкладки. Подобные вкладки после пяти минут нахождения в фоне теперь могут активироваться не чаще одного раза в минуту, за исключением операций воспроизведения мультимедийного содержимого, активных потоков RTCDataChannel и MediaStreamTrack или обработки поступивших уведомлений. Проведённое тестирование показало, что внесённые изменения при наличии большого числа открытых вкладок позволили до 5 раз снизить нагрузку на CPU и продлить время автономной работы более чем на час.
  • Включено отслеживание видимости вкладок и окон при выполнении отрисовки. Операции отрисовки теперь выполняются только если они приводят к изменению видимой пользователю информации и приостанавливаются для фоновых вкладок. Благодаря данной оптимизации удалось добиться сокращения времени запуска браузера на 25%, ускорения загрузки страниц на 7% и снижения потребления памяти.
  • В версии для Android включён по умолчанию кэш перехода (Back-forward cache), обеспечивающий мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта. На настольных системах кэш можно включить при помощи настройки chrome://flags/#back-forward-cache.
  • Продолжено постепенное включение HTTP/3 и варианта протокола QUIC на основе спецификаций IETF (ранее по умолчанию использовался Google-вариант QUIC). По статистике Google по сравнению с HTTP поверх TCP+TLS 1.3 протокол IETF QUIC показал снижение задержек при поиске в Google Search на 2% и уменьшение времени ребуферизации в YouTube на 9% при увеличении пропускной способности на 3% для настольных и на 7% для мобильных систем.
  • До 50% увеличен охват отключения FTP по умолчанию. Вернуть FTP можно при помощи флага "--enable-ftp" или "--enable-features=FtpProtocol". В Chrome 88 поддержка FTP будет полностью отключена.
  • Помимо ранее добавленных функций закрепления и группировки вкладок в новой версии предложена возможность быстрого поиска вкладок. Пользователь теперь может просмотреть список всех открытых вкладок и быстро отфильтровать нужную вкладку, независимо от того в текущем или другом окне она находится. Поиск вкладок будет доведён вначале для пользователей Chromebook, а потом и для остальных настольных систем.
    0_1605710575.png
  • Появилась возможность выполнения действий с браузером из адресной строки. Например, можно набрать "удалить историю" и браузер предложит перейти к форме очистки истории перемещений или "редактировать пароли" и браузер откроет менеджер паролей. Пока распознаются только действия, связанные с конфиденциальностью и безопасностью.
    0_1605690172.png
  • Для страницы, показываемой при открытии новой вкладки, реализованы информационные карты, помогающие найти недавно просматриваемый контент и связанную с ним информацию. Карты призваны упростить продолжение работы с информацией, просмотр которой был прерван. Например, карты помогут найти рецепт блюда, который недавно был найден в сети, но утерян после закрытия страницы, продолжить выбор покупок в магазинах или вернуться к просмотру прерванного видео. Возможность будет доводиться до пользователей постепенно в ходе нескольких экспериментальных внедрений.
    0_1605690371.png
  • Предложена новая реализация интерфейса встроенного просмотрщика документов в формате PDF. Интерфейс примечателен выносом в верхнюю панель всех настроек. Если раньше в верхней панели отображались только название файла, информация о страницах, кнопки поворота, печати и сохранения, то теперь в неё перенесено и содержимое боковой панели, включавшей элементы управления масштабированием и размещения документа по размеру страницы. Появилась возможность просмотра аннотаций и добавлен режим двухстраничного просмотра.
    0_1605693683.png
  • 31 декабря, после официального прекращения поддержки Flash Player компанией Adobe, Chrome полностью перестанет обрабатывать Flash-контент, в том числе в прошлых выпусках. В Chrome 88 связанный с Flash Player код будет полностью удалён. Предприятиям, которым необходима поддержка Flash после 31 декабря, предложено воспользоваться отдельным сервисом HARMAN. 31 декабря также будет прекращена поддержка Google Cloud Print и убрана возможность сохранения в Google Drive со страницы управления выводом на печать (пользователям отныте потребуется осуществить печать в PDF и затем вручную загружать результат в Google Drive в при помощи меню "New > File upload" на сайте drive.google.com).
  • В версии для платформы Android предоставлена возможность подключения к web-сервисам в браузере с использованием учётной записи в Google, привязанной к устройству. Синхронизация при этом включается отдельно. Для пользователей, подключивших браузер к учётной записи Google, но не включивших синхронизацию, предоставлен доступ к сохранённым в учётной записи методам платежей и паролям.
  • При попытке отправки смешанных web-форм добавлен вывод предупреждения о потенциальном риске передачи данных через незашифрованный канал связи (в прошлой версии предупреждение выводилось при заполнении подобных форм, но вывод предупреждения при отправке был отменён). Под смешанными формами подразумеваются формы ввода на страницах, загруженных по HTTPS, но отправляющих данные по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак.
  • Продолжено блокирование небезопасной загрузки (без шифрования) исполняемых файлов. В новой версии реализована блокировка небезопасной загрузки документов (docx, pdf и т.п.) и обеспечен вывод предупреждений при небезопасной загрузке мультимедийных данных, текстовых файлов и изображений. Блокировка реализована, так как загрузка файлов без шифрования может использоваться для совершения вредоносных действий путём подмены содержимого в процессе MITM-атак. Ранее была включена блокировка небезопасной загрузки исполняемых файлов и архивов (zip, iso и т.п.).
    0_1605694703.png
  • Имена политик для предприятий переведены на инклюзивную терминологию. Термины "whitelist" и "blacklist" заменены на "allowlist" и "blocklist". Убрано слово Native. Например, политика DeviceNativePrinters теперь именуется DevicePrinters, а DeviceUserWhitelist - DeviceUserAllowlist. Уже используемые политики сохранят свою работу, но на странице chrome://policy для них будет показано предупреждение.
  • В облачном интерфейсе управления (Chrome Browser Cloud Management) реализована возможность удалённого выполнения команд в браузере. Например, можно удалённо инициировать очистку кэша или Cookie.
  • Внесены изменения для блокирования атаки NAT slipstreaming, позволяющей при открытии страницы в браузере организовать соединение сервера атакующего с любым портом UDP или TCP на системе пользователя, находящейся за транслятором адресов.

     
  • В API MediaDevices.getUserMedia() и MediaStreamTrack.applyConstraints() добавлена поддержка управления панорамированием, наклоном и масштабированием камеры. Доступ к возможностям по управлению движением камеры предоставляется только после явного предоставления приложению полномочий.
  • Добавлены сокращённые варианты написания различных CSS-свойств, управляющих логическим позиционированием элементов (для поддержки языков, в которых написание производится не сверху вниз и слева направо, логическое позиционирование использует понятия начала, конца и направления текста). Например, значения "margin-block-start", "margin-block-end", "margin-inline-start" и "margin-inline-end" теперь можно определить при помощи сводных свойств "margin-block" и "margin-inline" (т.е. вместо двух отдельных свойств теперь можно писать "margin-block: 2ch 2ch;", как это было раньше сделано в Firefox). Аналогичные короткие варианты реализованы для свойств padding-*. Вместо раздельных наборов свойств top, right, bottom и left предложены сводные свойства "inset", "inset-block" и "inset-inline".
  • Стабилизирован API Cookie Store для доступа Service worker к HTTP Cookies, выступающий асинхронной альтернативой применения document.cookie.
  • Расширен режим изоляции Cross-Origin, в котором при помощи заголовков Cross-Origin-Embedder-Policy и Cross-Origin-Opener-Policy задаются правила безопасного использования на странице привилегированных операций, таких как SharedArrayBuffer, Performance.measureMemory() и API профилирования (данные API могут применяться для осуществления атак по сторонним каналам, таким как Spectre). Изоляция подразумевает вынос обработчиков контента в отдельные процессы в привязке к источнику (origin - домен+порт+протокол), а не сайту, т.е. позволяет организовать разделение по разным процессам на основе домена ресурса, а не сайта со всеми посторонними включениями на страницах. В новой версии в качестве ключа для изолированного кластера используется origin, а не сайт. В изолированном кластере запрещено изменение свойства document.domain. Добавлен параметр window.crossOriginIsolated для определения выполнения в режиме изоляции.
  • Добавлен метод isInputPending(), доступный из navigator.scheduling и позволяющий определить наличие ввода при выполнении длительных операциях в скриптах, блокирующих ввод.
  • В режиме Origin Trials добавлен API Font Access, при помощи которого можно определить и использовать установленные в системе шрифты, а также манипулировать шрифтами на низком уровне (например, фильтровать и трансформировать глифы). С меткой Origin Trials распространяются экспериментальные возможности, требующие отдельной активации. Origin Trial подразумевает возможность работы с тестируемыми API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
  • В Service Worker разрешена обработка Range-запросов, используемых для передачи данных отдельными блоками.
  • В Streams API добавлена поддержка переносимых потоков, позволяющих передавать объекты ReadableStream, WritableStream и TransformStream в форме аргументов при вызове postMessage(), для того чтобы вынести выполнение операции в web worker с клонированием данных в фоновом режиме.
  • В CSS-свойства ascent-override, descent-override и line-gap-override добавлен дескриптор @font-face для переопределения метрик шрифта, что может быть использовано для унификации отображения шрифта в разных браузерах и операционных системах, а также для исключения сдвига макета страницы web-шрифтами.
  • Добавлено несколько новых CSS-свойств для декорирования и подчёркивания текста, позволяющих избавиться от проблем со слишком близким прилеганием линии подчёркивания к тексту или её выходом за край текста. Для изменения толщины линии предложено свойство text-decoration-thickness, а для управления размещением подчёркивания свойство text-underline-offset и параметр from-font в text-underline-position.
  • В CSS-свойстве quotes реализовано значение 'auto', при указании которого будут использоваться символы кавычек, определённые в браузере по умолчанию и зависящие от выбранного языка.
  • В JavaScript реализован метод Atomics.waitAsync(), представляющий собой асинхронную версию Atomics.wait(), позволяющую ожидать определения размещения SharedArrayBuffer по аналогии с Atomics.wait(), но с возвращением Promise.
  • Добавлен экспериментальный внутренний С API (включается при запуске с опцией "--enable-unsafe-fast-js-calls"), позволяющий выполнять системные вызовы из JavaScript. Подобная возможность необходима для повышения производительности некоторых графических API в Chrome.
  • В инструментах для web-разработчиков реализована новая панель WebAuthn тестирования и отладки аутентификации на сайте с использованием не настоящих, а эмулируемых USB-токенов.
    0_1605700210.png

Кроме нововведений и исправления ошибок в новой версии устранено 33 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 23 премий на сумму 31500 долларов США (одна премия $7500, три премии $5000, две премии $3000, одна премия $1000 и четыре премии $500). Размер 12 вознаграждений пока не определён.

 

Ссылка на сообщение
Поделиться на другие сайты

Посоветуйте дополнение для перевода. До вчерашнего дня пользовался 

Спойлер

n31.thumb.jpg.63bddf86e47c01f06dbfac4128c793f8.jpg

но теперь оно вредоносное. ссылка на интернет магазин Chrome соответственно не работает.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

Chrome 88 переведён на новый манифест, несовместимый с uBlock Origin

Спойлер

Компания Google сообщила о включении в Chrome 88, релиз которого ожидается 19 января 2021 года, третьей редакции манифеста Chrome, нарушающей работу многих дополнений для блокирования нежелательного контента и обеспечения безопасности. Отмечается, что поддержка дополнений, использующих вторую версию манифеста, какое-то время будет сохранена. Дата прекращения поддержки Manifest V2 пока не определена, но период миграции на новый манифест продлится как минимум год.

Напомним, что манифест Chrome определяет возможности и ресурсы, предоставляемые дополнениям. Новый манифест разработан в рамках инициативы по усилению безопасности, конфиденциальности и производительности дополнений. Главной целью вносимых изменений является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений.

Основное недовольство новым манифестом связано с прекращением поддержки блокирующего режима работы API webRequest, который будет ограничен режимом только для чтения. Исключение будет сделано лишь для редакции Chrome для предприятий (Chrome for Enterprise), в которых поддержка API webRequest будет сохранена. Компания Mozilla решила не следовать за новым манифестом и сохранит в Firefox возможность полного использования API webRequest. Вместо API webRequest для фильтрации контента в новом манифесте предложен декларативный API declarativeNetRequest.

API webRequest позволял подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик Новый API declarativeNetRequest предоставляет доступ к готовому универсальному встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации и не позволяющему задавать сложные правила, перекрывающие друг друга в зависимости от условий. В качестве причины перехода на API declarativeNetRequest отмечается забота о конфиденциальности - с новым API дополнения лишатся неограниченного доступа ко всем потокам данных, которые могут включать в том числе и конфиденциальную информацию пользователя.

Компания Google попыталась сгладить некоторые острые моменты, озвученные в ходе дебатов с разработчиками дополнений, на работу которых повлияет API declarativeNetRequest (например, перестанет работать uBlock Origin, автор которого считает функциональность declarativeNetRequest недостаточной для полноценной работы дополнения). По мотивам пожеланий разработчиков дополнений добавлена поддержка использования declarativeNetRequest для нескольких статических наборов правил, фильтрации по регулярным выражениям, модификации HTTP-заголовков, динамического изменения и добавления правил, удаления и замены параметров запросов.

В новом манифесте также представлены следующие изменения, влияющие на совместимость с дополнениями:

  • Переход к выполнению Service workers в форме фоновых процессов, что потребует от разработчиков изменения кода некоторых дополнений.
  • Новая гранулированная модель запроса полномочий - дополнение не сможет активироваться сразу для всех страниц (убрано полномочие "all_urls"), а будет работать только в контексте активной вкладки, т.е. пользователю потребуется подтверждать работу дополнения для каждого сайта.
  • Изменение обработки Cross-origin запросов - в соответствии с новым манифестом на скрипты обработки контента будут распространяться те же ограничения полномочий, что и для основной страницы, в которую эти скрипты внедряются (например, если страница не имеет доступа к API определению местоположения, то и скрипт дополнения также не получит этот доступ).
  • Запрет выполнения кода, загруженного с внешних серверов (когда дополнение подгружает и выполняет внешний код).

 

Ссылка на сообщение
Поделиться на другие сайты

Блокировку тяжелой рекламы надо включать самому в 87 или включена по умолчанию?

 

Сам браузер даёт куда большую нагрузку антивирусным сканером, чем самая тяжёлая реклама

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

В адресной строке Chrome по умолчанию начнёт применяться HTTPS

Спойлер

В кодовую базу Chromium приняты изменения по умолчанию переводящие адресную строку на использование протокола HTTPS. В отличие от появившегося в Firеfox 83 режима "HTTPS Only", изменение в Chrome не подразумевает автоматическую замену "http://" на "https://", а ограничивается использованием HTTPS по умолчанию в рекомендациях адресной строки, при автодополнении ввода и при вводе имени сайта без явного указания протокола (при вводе "example.com" будет открыт "https://example.com"). Если загрузка по HTTPS не удалась будет выполнен откат на HTTP.

Представленное изменение решает проблему с открытием по умолчанию страниц с использованием "http://", без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает использоваться "http://".

 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • para87
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • Specture
      От Specture
      В папке C:/ProgramData/google/chrome засел самовосстанавливающиеся вирус updater.exe, скорее всего майнер. Пытался удалить разными способами, но восстанавливается сам. Нагружает процессор, портит железо. Периодически вылетают синие экраны, предположительно тоже из за него. Как я могу его удалить?

    • notcrayzi
      От notcrayzi
      В последнее время начал замечать,что PC начал тормозить и очень часто начали вылетать синий экран с ошибкой critical process died. Решил через время проверить на вирус с помощью Windows антивируса. Он показывал всё чисто.Но вопрос остался открытым. Решил скачать MalwareBytes. И тут показался этот жук. Он его находит и пытается удалить по пути C:\ProgrameData\Google\Chrome\updater.exe . Помогите,пожалуйста. Готов уже полностью сносить систему

      Dr.Web не помог,так же сказал,что всё чисто
       
    • ARTEMIS
      От ARTEMIS
      В браузере самостоятельно устанавливается дополнение Find it, T-cashback. Удаляю, но при следующем запуске браузера оно снова в расширениях 
      cure it и malwarebytes не помогает, находит их но не лечит
      Помогите удалить гадости эти.
    • larmaswed
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  


×
×
  • Создать...